Miettisin tässä ku kirjoitan artikkeleita kantaan, niin mitä kaikkea kannattaa parsia pois kommentoinista (tai muuttaa html muotoon), ettei tietokantaan pääse käsiksi?
Älä parsi mitään, käytä näitä funktioita:
https://www.php.net/mysql_real_escape_string
https://www.php.net/html_entites
Hmm, kävi mielessä että oisin vetänyt näin:
<?php $kommentti = $_POST['kommentti']; $not_ok = array("'","\\"); $ok = array("'", "\"); $kommentti = str_replace($not_ok, $ok, $kommentti); ?>
Komppaan trilogia: älä karsi mitään, muotoile tulostusvaiheessa.
https://www.php.net/mysqli.prepare + https://www.php.net/htmlentities
Tai käytät suosiolla jotain ORMia, mureakuhasta löytyy näistä joitain vertailukeskusteluja.
Aihe on jo aika vanha, joten et voi enää vastata siihen.